大数据背景下网络安全问题研究
                    Research on Network Security Issues under the Background of Big Data


             邮件的分类检测（最早研究）。
                  2.框架安全
                  深度学习框架及其依赖的第三方库存在较多安全隐患，导致基于框架实现的人工
             智能算法运行时出错。来自360安全实验室等单位的研究人员，对Caffe、TensorFlow
             和Torch三个主流的深度学习框架实现中存在的安全威胁进行了研究，发现框架中存

             在堆溢出、数字溢出等许多漏洞，其中15个漏洞拥有CVE编号。
                  3.算法安全
                  深度神经网络虽然在很多领域取得很好的效果，但是其取得好效果的原因及其

             算法中隐藏层的含义、神经元参数的含义等尚不清楚，缺乏可解释性容易造成算法运
             行错误，产生对抗性样本攻击、植入算法后门等攻击行为。有研究人员介绍了针对
             Gmail PDF过滤的逃逸攻击，利用遗传编程随机修改恶意软件的方法，实现了对基于
             PDF结构特征的机器学习恶意软件分类器的逃逸。该方法不仅成功攻击了两个准确率

             极高的恶意PDF文件分类器，而且可以对Gmail内嵌的恶意软件分类器进行攻击，只
             需4行代码修改已知恶意PDF样本就可以达到近50%的逃逸率，10亿Gmail用户都受到
             了影响。

                  4.模型安全
                  模型作为人工智能应用的核心，成为攻击者关注的重点目标。攻击者向目标模型
             发送大量预测查询，利用模型输出窃取模型结构、参数、训练及测试数据等隐私敏感
             数据，进一步训练与目标模型相同或类似模型；采用逆向等传统安全技术把模型文件
             直接还原；攻击者利用开源模型向其注入恶意行为后再次对外发布分享等。2017年，

             Papernot等人提出一种黑盒模型窃取攻击，通过收集目标分类器的输入和输出构建综
             合数据集，用于训练目标模型的替代品（本地构建的相似模型），实现对目标模型的
             攻击。除了最新的深度神经网络外，该方法也适用于不同的机器学习分类器类型。

                  5.软硬件安全
                  除上述安全问题外，承载人工智能应用的（数据采集存储、应用运行等相关）
             软硬件设备面临着传统安全风险，存在的漏洞容易被攻击者利用。在BlackHat2018大
             会上，腾讯科恩实验室介绍了在避免物理直接接触的远程攻击场景下，针对特斯拉

             Autopilot自动辅助驾驶系统的攻击测试情况。整个的攻击过程从利用WebKit浏览器漏
             洞实现浏览器任意代码执行开始，最终获得了Autopilot的控制权。
                  攻击者可以针对上述人工智能自身存在安全问题发起攻击，其中较为常见的攻
             击为对抗样本攻击，攻击者在输入数据上添加少量精心构造的人类无法识别的“扰

             动”，就可以干扰人工智能的推理过程，使得模型输出错误的预测结果，达到逃避检
             测的攻击效果。此外，对抗样本攻击具有很强的迁移能力，针对特定模型攻击的对抗


             • 94 •